過去問？

52問 • 2年前

問題一覧

「不正アクセス行為の禁止等に関する法律」 (不正アクセス禁止法)における不正アクセス行為は、アクセス制限がなされているコンピュータに対して、他人のユーザID・パスワードを悪用しり、コンピュータプログラムの不備をつくことにより、本来アクセスする権限のないコンピューを利用する行為のことである。

◯

情報セキュリティ監査では、あらかじめ監査目的を設定しておか。監査は、その目的に応じて ( a )型の監査と(b)型の監査に分けることができる。(a) 型の監査は、情報セキュリティ対策が適切かどうかを監査人が(a)することを目的とする監査であり、(b) 型の監査は、情報セキュリティ対策の改善のために監査人が (b)を行うことを目的とする監査である。また、この2つを同時に11的とした監査を行うこと(c).

(3)保証(b)助言(c)も可能である

知的財産権のうち、次の図に示されている特許権、実用新案権、意匠権及び商標権の4つを産業財産権といい、( a ) が所管している ■知的財産権の種類〈創作意欲を促進〉 ①知的創造物についての権利 -特許權:発明を保護 -実用新案権:物品の形状等の考案を保護 -意匠権:物品の (b)を保護〈信用の維持〉 ②営業標識についての権利 -商標權:商品・サービスに使用する(c) を保護

(a) 特許庁(b) デザイン(c) マーク

CSR イ:コーポレートガバナンスウ: ERM エ: コアコンピタンス)とは、株主や銀行、債権者、取締役、従業員などの企業築を取り巻くさまざまな利害関係者が企業活動を監視して、健全で効率的な企業経営を規律するための仕組みのことである。

イ

「特許法」においては、技術的思想の創作である「(ア:考案イ:発明ウ: 暗黙知工:意匠)が保護の対象となる。

イ

情報セキュリティの3要素の一つである「可用性」の具体例として、( )ことが挙げられる。 (ア) データベースの運用において、データの改ざんや破壊などが発生しないようにする (イ) バックアップの機器やデータを用意しておき、脅威が起こったときには切り替えて対応できるようにする (ウ)重要なデータが誤って上書きされないように、ライトプロテクト機能を有効にする (エ)アクセス権限を制限して、アクセスできる機器を特定する

イ

情報セキュリティ実施手順とは、( )を示すものである。ア:組織の情報に取り組む姿勢イ: 情報セキュリティ対策基準で定められた内容を、具体的な情報システムまたは業務において、どのように実施していくかの手順の詳細ウ: 情報対策の目的及び対象範囲エ: 情報セキュリティを確保するために遵守すべき行為及び判断などの基準

イ

リスク対応の手法の一つである「リスクの低減」の具体例として、( )ことなどが挙げられる。

ア: 従業員に対し情報セキュリティ教育を実施したり、室内への不正侵入に備えて警備システムを導入する

「個人情報保護法」における「要配慮個人情報」とは、人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいうが、 ( )は、この「要配慮個人情報」に該当しない。

エ:健康診断等を受診したという事実

「個人情報保護法」における民間事業者の個人情報取扱いに関する記述のうち、思っているものはどれか。

(ア) 個人情報を取り扱うに当たって、利用目的をできるだけ特定しなければならず、特定した利用目的は、公表しておくか、個人情報を利用した後に本人に通知する必要がある。

「刑法」における不正行為に関する記述のうち、誤っているものはどれか。

イ:電磁的記録不正作出は、いわゆるコンピュータウイルス罪であり、この法律によりコンピューウイルスの作成だけではなく、提供・共用・取得・保管行為が罰せられる。

プリンタなどの出力装置を共用している場合は、部署ごとにプリンタを、部署ごとに出力した用紙を置く場所を決めるといったルールを設けるなどの方法も考えられ、重要な情報についてはをかけて印刷を制限するようなを導入するなどの対策が必要である。

◯

紙媒体の保管について、使用頻度が低く重要度が高い書類と、使用頻度が高く重要度が低い書類を管理する場合は、管理主管部署が同一であれば、これらを分離せずに同じキャビネットなどで保管する。

商品開発や重要資料保管室などのセキュリティレベルが高い部屋の出入りは部署ごとに配付されている複数人で共有するカードキーを用いて施錠・解錠をすることが望ましい。

ピギーバックへの効果的な対策として、認証によって一度に1人のみ通過が許可される仕組みのセキュリティゲートを設置することが挙げられる。

◯

来客者への対策として、来訪の際には氏名・所属、訪問先・訪問の目的などを所定の用紙に記入してもらい、記入が済んだ来客者にゲスト用IDカードを貸与し、入退室を管理する。

◯

スマートフォンなどのモバイル端末の紛失・盗難対策の一つであるローカルエコーとは、端末のロックを解除するパスコードの入力を一定回数以上間違えると、端末内のデータを消去する機能のことである。

従業員が、業務上知り得た取引先の公開されていない重要な情報をSNSに投稿した場合、従業員の個人のからの投稿であっても、自社に対して損害賠償を請求される可能性がある。

◯

自然災害の脅威の一つである雷サージとは、落雷の際、電線などに瞬間的に高い電圧が発生する現象であり、過電流が通信ケーブルなどを伝って屋内に侵入し、や通信機器などを損傷させる場合もある。

◯

UPSは、無停電電源装置とも呼ばれ、これを設置することにより、停電時でもしばらくの間はコンピュータや機器などに電気を供給する、利用者は安全にシステムの終了を行うことができる。

◯

BCPとは、自然災害などで企業が被災しても重要な事業を中断させない、もしくは中断しても可能な限り短期間で再開させ、中断に伴う顧客の流出やシェアの低下、企業評価の低下などから企業を守るために行う経営戦略のことである。

◯

情報漏えいの対策として、重要な情報をFAXで送信する割には、送信相手を問えたりしないように、FAXの ( a ) 授受確認を行い、相手に確実に届いていることを確認する。また、重要な書類がごみとして捨てられていた場合、悪意のある人がごみをあさって機密情報を探し出す(b)もあるため、紙媒体は適切に廃棄し。重要な紙媒体はシュレッダーで細断してから廃棄するか、一箇所にまとめてから廃棄するなどの対策が有効である。まとめて廃業する場合は、専門の業者に依頼して(c)を締結し、廃棄処理後に廃業証明書などの提出を求めるようにすることが望ましい。

ウ: (a) 通信の前後に必ず電話連絡を行って(b) トラッシング(c) NDA

SNSに関連する脅威として、撮影した写真の不用意な投稿が挙げられる。例えば、GPS機能付きのスマートフォンやデジタルカメラで撮影した写真には、いつ・どこでどのような設定で撮影したかなどの情報が記録される。このような情報は (a) 情報と呼ばれ、(a)情報には ( b )という位置情報も含まれている。そのため、不用意に写真を投稿してしまうと、(a) 情報から自宅や居場所が特定されてしまう場合があり、被害などに発展する場合もある。また、Web上で提供されている ( c ) サービスを利用することにより、URLを数文字程度に短くする。(c) サービスは便利な反面、一見しただけでは、どのようなWebサイトにリンクされているか判断がつきにくいというがあり、SNSに投稿された (c)から不正サイトに誘導されという危険性もある。

イ:(a) Exif (b) ジオタグ(c)短縮URL

バイオメトリクス認証の方式の一つである(ア:静脈認証イ:顔認証ウ:虹彩認証エ: 網膜認証)は、非接触・非拘束での認証や離れた場所からの認証も可能である。認証に用いる装置として一般的なWebカメラも利用可能であり、入出国管理や重要施設の監視、イベント会場での入場管理など、さまざまな場所で導人されている。

イ:顔認証

( )への対策として、ユーザID・パスワードを入力する際に背後に人がいないかどうか注意したり、ディスプレイに偏光フィルタを装着するなどの対策が必要である。

ウ: ショルダーハッキング

情報に関連する教育は、( ) 実施する。ア:法改正や業務内容に変更が生じた場合のみイ: 受講者の負担を考慮し、2年に一回程度ウ:正社員、パート・、派遣社員に関わらず、業務に携わるすべての者を対象にエ: 正社員のみを対象として、パート・は希望者の参加を認めて

ウ:正社員、パート・、派遣社員に関わらず、業務に携わるすべての者を対象に

36. 業務で使用するノートパソコンを外部に持ち出す際は、( )ことなどにより、耐タンパ性を高めるようにする。ア:ハードディスクの空き容量を確保し、メモリの処理速度を上げるイ:専用のインナーケースを利用して、衝撃から機器を保護するウ: Wi-Fi用のカードを装着し、無線LANを使いやすくするエ:ハードディスク全体に暗号化を施す

エ:ハードディスク全体に暗号化を施す

バックアップサイトの一つであるホットサイトは、( ) 形態である。ア: ITシステムに関わる機材が、すべて本運用とほぼ同じように設定されていて、データのバックアップを取りながら稼働状態で待機しているイ:必要最低限の機材と空調や電気などの設備環境のみで、災害発生時に必要な機材を搬入して設置・設定を行うウ:バックアップしたデータの媒体を定期的に搬入し、非稼働状態で待機しているエ: 災害発生時にシステムを起動して運用を引き継ぐことが可能となる、システムの稼働に必要な主要の一式をあらかじめ保管している

ア: ITシステムに関わる機材が、すべて本運用とほぼ同じように設定されていて、データのバックアップを取りながら稼働状態で待機している

ヒューマンエラーの具体例として、( )などが挙げられる。ア: 不注意による、FAXの誤送信や書類の誤廃棄イ: 契約不履行による、取引先からの損害賠償請求ウ:愉快犯による、チェーンメールの配信エ: 悪意をもった、SNSへの虚偽の事実の投稿

ア: 不注意による、FAXの誤送信や書類の誤廃棄

オフィス内に設置する、FAX機能や印刷機能、コピー機能、イメージスキャナ機能などが搭載されている複合機の利用に関する記述のうち、不適切なものはどれか。

ウ:複合機が内蔵しているハードディスクに、FAXによる送受信のための一時的な作業データが記録されている場合、すべての利用者がこのデータを閲覧できるようにして、不要なデータを随時消去できる仕組みにする。

IPAの「中小企業における組織的な情報セキュリティ対策ガイドライン」における「情報セキュリティに対する組織的な取り組み」及び「物理的セキュリティ」に関する記述のうち、誤っているものはどれか。

イ:従業者を採用する際に、守秘義務契約や誓約書を交わしていること。また、機密保持義務を明確化するため、具体的に企業機密に接する際には、退職時まで有効となる誓約書を取ること。

パスワードフィルタの規則の具体例として、ユーザIDが含まれるものは許可しないことや、10文字以上で構成し、半角の英字・数字・記号がそれぞれ文字以上含まれるものを許可することなどが挙げられる

◯

使い勝手のよいフリーソフトウェアを利用することにより、業務効率の向上が期待できるのであれば、リモートワークで使用するコンピュータにそのフリーソフトウェアを自己の判断でインストールしてもよい。

差分バックアップは、フルバックアップを行った後に変更されたデータのみをバックアップするため、フルバックアップと比較するとバックアップに要する時間は短い。

◯

ブルートフォース攻撃とは、セキュリティ上のぜい弱性が発見されたときに、開発者側からバッチなどのぜい弱性への対策が提供されるより前に、そのぜい弱性をついて攻撃を仕掛けるものである。

Webを閲覧している際、「ウイルスが検出されました」などと画面に突然メッセージが表示されるのは、多くの場合は既存の検索サービスや大手ベンダーを装ったフェイクアラートであり、不安をあおって必要のないソフトウェアの購入を促したり、高額なサポート契約をさせようとしたりする。

◯

バックドアとは、不正侵入や攻撃を受けたコンピュータに仕掛けられた、裏の侵入経路のことであり、侵入者が、そのシステムに再侵入するために設置する。

◯

USBメモリを利用する場合は、USBポート経由でマルウェアに感染しないための対策として、出所不明のUSBメモリを接続しないことや、OSの設定でUSBメモリの自動再生機能を無効にすることなどが挙げられる。

◯

ロボット掃除機やスマートスピーカー、ゲーム機などのIoT機器は、ネットワークに常時接続していても、不正アクセスや不正プログラムに感染するなどの危険性はない。

大量のパケットをターゲットのサーバに送り付け、そのサーバが他の処理を実行できない状態にして、正規のユーザからのアクセスを受け付けられないようにする攻撃をDoS攻撃と呼び、さらに分散した複数の端末から一斉に仕掛けるDoS攻撃をDDoS攻撃と呼ぶ。

◯

ワンタイムパスワードとは、短時間のみ有効なその場限りの文字列をパスワードとして用いる方式であり、専用のトークンやスマートフォンのアプリなどからパスワードを発行する方法もある。

◯

パスワードクラックの代表的な手法として、(a)(b)などがある。(a) 攻撃とは、パスワードを固定して、ユーザIDを次々に変えてログインを試す攻撃である。一方、 (b) 攻撃とは、パスワードの文字列として考えられるすべての組合せをしていき、パスワードを破ろうとする攻撃である。また、Webサイトから流出したユーザIDとパスワードのリストを用いて、他のWebサイトにログインを試みるパスワードリスト攻撃がある。この攻撃への効果的な対策の一つとして、(c) することが挙げられる。

イ: (a)逆起当たり(b) 総当たり (c) 同ーパスワードの複数のサイトでの使用を禁止

パソコンや外付けのハードディスクを廃棄処分する際は、ハードディスク全体を(a)するだけでは不十分であるため、(b) ことによって、記録されているデータの読取りが不可能な状態にする必要がある。あるいは、ハードディスクを (c)することによって、データを復元できないようにしなければならない。

エ:(a)初期化 (b)専用のソフトウェアを用いて固定パターンなどで数回上書きする (c)物理的に破壊

( )は、感染したコンピュータのファイルを暗号化してロックをかけ、ロックの解除と引き換えに金銭を要求したり、コンピュータ内の情報を詐取して、金銭を支払わなければその情報をするなどの脅迫を行う手口もある。

エ:ランサムウェア

( )とは、ターゲットとなるユーザが普段アクセスするWebサイトを改ざんし、そのサイトを閲覧しただけで不正プログラムに感染するように仕掛ける手口である。

イ:水飲み場型攻撃

パケットフィルタリング機能のうち、パケットの状態までチェックできる機能を( )といい、これによってなりましの検知が可能となる。

ア:ステートフルインスペクション

( ) とは、公開鍵暗号を利用するための周辺技術や概念などのことであり、これを利用することによって、メッセージやデータの機密性、非否認性などを確保することが可能となる。

エ: PKI

メールの式にはHTML形式とテキストがあり、テキストのメールは、( )

ウ:メール本文にまなプログラムを理め込まれることがないため、マルウェアの性は低い

米国政府標準の暗号方式として採用された、共通鍵暗号方式の一つである( )。

ア: AESは、無線LANの暗号化規格WPA2で採用されている

シングルサインオンを導入した際のメリットとして最も切なものは、次のうちどれか。

エ: 管理者側のメリットとして、認証情報の管理を一元化することによって、パスワード管理の負担が軽減されることが挙げられる

IPAの「中小企業における組織的な情報セキュリティ対策ガイドライン」における「共通して実施すべき対策」に関する記述のうち、誤っているものはどれか。

イ:ウイルス対策ソフトをはじめとしたアプリケーションの運用を適切に行う。例えば、ウイルス対策ソフトを導入し、導入時の状態を常に保っていること。また、各サーバやクライアントPCについて、定期的なウイルス検査を行っていること。

第8回DX推進アドバイザー認定試験

ちびすけ · 100問 · 1年前

第8回DX推進アドバイザー認定試験